标签: APT28

德国政府:证实俄黑客组织 APT28 入侵德国政府网络

据德国新闻机构 DPA 报道,俄罗斯黑客组织 APT28(又名 Fancy Bear、 Pawn Storm、 Sednit、Sofacy 和 Strontium)攻破了德国外交部和内政部的计算机网络,并在其中植入了恶意软件。有关安全专家认为 APT28 在这些部门的潜伏时间可能长达一年。截至目前,已约有 17 千兆字节的数据被窃取,可用于进一步攻击德国政府。 德国政府在去年 12 月发现了这起入侵事件后,采取了相应的控制措施。目前该事件还在调查中。 其实俄罗斯 APT28 黑客组织并不是第一次被指责与德国的网络攻击有关,早在 2015 年,该黑客组织被认为入侵了德国议会的系统。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

X-Agent 后门大升级,俄罗斯 APT28 间谍活动更为隐蔽

HackerNews.cc 24 日消息,俄罗斯 “ 奇幻熊 ”(Fancy Bear,又名 Sednit、APT28、Sofacy、Pawn Storm 和  Strontium)APT 组织于近期重构后门 X-Agent,通过改进其加密技术,使后门更加隐蔽和难以制止。据悉, X-Agent 后门(也称为 Sofacy )与 “ 奇幻熊 ” 的几次间谍活动都有关系。 安全公司 ESET 发表的报告显示,“ 奇幻熊 ” 目前对 X-Agent 所进行的操作较为复杂。其开发人员对其实施新的功能 ,并且重新设计了恶意软件的体系结构,使 X-Agent 更加难以检测和控制: X-Agent 曾特别设计用于针对 Windows、Linux、iOS 和 Android 操作系统 ,研究人员于今年初发现了 X-Agent 用于破坏 MAC OS 系统的第一个版本。 最新版 X-Agent 后门实现了混淆字符串和所有运行时类型信息的新技术、升级了一些用于 C&C 服务器的代码,并在 WinHttp 通道中添加了一个新的域生成算法 ( DGA ) 功能,用于快速创建回滚 C&C 域。此外,加密算法和 DGA 实现方面也存在重大改进,使得域名接管变得更加困难。ESET 观察到 “ 奇幻熊 ” 还实现了内部改进,包括可以用于隐藏受感染系统的恶意软件配置数据和其他数据的新命令。 虽然 “ 奇幻熊 ” 对 X-Agent 后门进行了诸多改进,但攻击链条基本保持不变。该组织依然依赖于网络钓鱼电子邮件进行网络攻击。 ESET 发表的报告称攻击通常以包含恶意链接或恶意附件的电子邮件开始。过去,Sedkit 漏洞利用工具包是他们首选的攻击媒介,但是自 2016 年年底以来,这类工具已经完全消失。目前 “ 奇幻熊 ” 越来越多地开始使用 DealersChoice 平台,该平台也是此前针对黑山共和国使用过的 Flash 漏洞利用框架(例如:利用 CVE-2017-11292 0-day ),可按需求生成嵌入式 Adobe Flash Player 漏洞文档。 截止目前,黑客组织“ 奇幻熊 ” 主要攻击目标仍然是世界各地的政府部门和使馆。 更多阅读: ESET 发布的关于 APT28 的详细分析报告:<Sednit update: How Fancy Bear Spent the Year> 消息来源:Security Affairs、ESET,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客组织 APT28 欲在 Flash 零日漏洞修复前发动网络攻击活动

据外媒 10 月 22 日报道,网络安全公司 Proofpoint 研究人员近期发现黑客组织 APT28 正利用 Microsoft Word 附件、通过 Adobe Flash 漏洞(CVE-2017-11292)分发恶意软件。研究人员表示,该漏洞近期刚刚被修复,不过攻击者似乎想要在用户安装补丁前展开网络攻击活动。 ATP28(又名 Sofacy、Fancy Bear 或 Tsar Team)是一支由俄罗斯政府资助的黑客组织,其主要针对境外国家的航空航天,以及私营部门展开攻击活动。据悉,该组织除针对丹麦国防部展开网络间谍活动外,还曾干预法国德国重大选举事件。 据悉,尽管研究人员所收集的信息有限,但他们目前已经大致了解攻击者的目标分布范围,其包括欧洲与美国的一些政府机构和航空航天私营部门。知情人士获悉,该漏洞补丁于 10 月 16 日在线公布时,卡巴斯基就已经发现黑客组织 BlackOasis APT 利用该漏洞开展网络攻击活动。 目前,研究人员推测 APT28 已经获取了一种利用 CVE-2017-11292 漏洞的方法,不过他们尚不清楚该组织是通过购买还是自身发现,亦或是反向分析 BlackOasis 攻击活动获得。不过,值得注意的是,黑客组织 APT28 一直利用恶意软件 DealersChoice 展开攻击活动。据称,当目标用户打开此类诱导文件时,DealersChoice 会自动联系远程服务器,下载并执行漏洞开发代码。 研究人员根据相关证据表明,黑客组织 APT28 似乎想要在 Flash 漏洞补丁被广泛部署前肆意分发恶意软件。不过,由于 Flash 仍存在于多数系统上,且此漏洞影响所有主要操作系统,因此用户立即更新Adobe 补丁至关重要。Proofpoint 研究人员证实,公司正试图取消与 DealersChoice 攻击框架相关的 C&C 服务器连接。此外,研究人员提醒用户,尽快安装补丁或更新系统至最新版本。 附:Proofpoint 安全报告原文链接《APT28 racing to exploit CVE-2017-11292 Flash vulnerability before patches are deployed》 原文作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

丹麦谴责俄罗斯 APT28 黑客组织入侵其国防部邮件系统

本周一,丹麦政府发文公开谴责俄罗斯 APT28 黑客组织入侵其国防部电子邮件系统。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)除针对丹麦国防部展开网络间谍活动外,还曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会、干预法国德国重大选举、针对联邦议院发起鱼叉式网络钓鱼攻击等。 丹麦网络安全中心于上周日发布一份报告,指控俄罗斯 APT28 黑客组织曾于 2015 年至 2016 年入侵其国防部职工电子邮件系统。 丹麦新闻社 Ritzau 援引国防部部长克劳斯·霍特·弗雷德里克森(Claus Hjort Frederiksen)评论,“ 这是俄罗斯在此领域开展持久战的一部分,我们将看到一个极具侵略性的俄罗斯。” 弗雷德里克森还告知当地 Berlingske 报社,本次行动的可控性极高。考虑到 APT28 黑客组织关乎俄罗斯政府情报机构或核心部门,并非仅出于乐趣而展开攻击的小型黑客组织,与之斗争必然要经历一个长期而艰巨的过程。 调查表明,虽然邮件内容不涉及任何敏感信息,但此次攻击活动仍对丹麦存有严重威胁。因为被窃取信息可用于招募、勒索或进一步筹划间谍攻击活动。 原作者:Pierluigi Paganini,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客组织 Callisto 瞄准东欧与南高加索地区展开攻击

世界知名计算机及网络安全提供商 F-Secure 于本周四发布一份报告,详细介绍了黑客组织 Callisto 针对欧洲外交与安全政策实体展开的情报搜集活动。 据 F-Secure 研究人员介绍,尽管尚未发现 Callisto 与其他黑客组织之间存在关联,但该组织至少从 2015 年 10 月开始就一直处于活跃状态。据悉,Callisto 的主要攻击对象为东欧与南高加索地区的不同个体与组织机构,其中包括格鲁吉亚、亚美尼亚与阿塞拜疆等区域。 2015 年底,F-Secure 跟踪 Callisto 时发现该组织发送具有高度针对性的 Gmail 钓鱼邮件,其中部分邮件发送至私人电子邮箱,可以此推断攻击者曾面向目标群体展开侦察工作。安全专家认为,黑客设法劫持部分账户并利用这些账户向其他目标传播网络钓鱼邮件。 2016 年初,网络间谍组织 Callisto 向军方与政府官员、智库员工及记者发送含有恶意文档的钓鱼邮件,该邮件中包含恶意软件的 Word 文档,攻击者无需利用漏洞即可展开攻击。如果收件人点击文档并按照提示允许运行该程序包,恶意软件就会被执行。调查表明,这款名为 Scout 的恶意软件作为一款用于侦测受感染系统、安装其他恶意软件的轻型后门,是意大利间谍软件制造商 Hacking Team 在 Galileo RCS(远程控制系统)平台上提供的工具之一。据悉,Galileo 平台曾于 2015 年遭黑客入侵,致使大量工具在线泄漏。Callisto 组织正是利用当时泄露的安装程序发起攻击,而非依靠 Galileo 源代码。目前尚不清楚攻击者是否在受感染系统中安装恶意软件。 F-Secure 分析显示,Callisto 组织使用的基础设施与托管受控物质贩卖商店的服务器相连,这表明可能存在网络犯罪迹象。此外,专家们还发现攻击者与俄罗斯、乌克兰与中国等国家使用的基础设施之间存在联系。研究人员表示,一种可能的解释是该网络犯罪组织具有某种国家或民族背景,如代表或服务于政府机构等。然而,根据目前掌握的信息并不能对 Callisto 组织的性质或隶属关系做出任何明确判断。 据 F-Secure 观察,尽管 Callisto 已超过一年未使用恶意软件进行攻击,但该组织仍处于活跃状态,并且每周都会建立新的网络钓鱼基础设施。值得一提的是,俄罗斯联盟间谍组织 APT 28、Pawn Storm与 Fancy Bear (梦幻熊)也同样将东欧与南高加索地区设为攻击目标。 原作者:Eduard Kovacs,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

谷歌早已看穿一切:尘封数年的“水族馆”报告揭示俄间谍组织 APT28

国外媒体 MotherBoard 网站分享了一份谷歌此前从未公开过的关于俄罗斯网络间谍组织 APT 28 的活动报告。该报告于 2014 年 9 月 5 日编写完成,内容主要为 Google 团队收集的俄罗斯间谍组织的活动情报。目前 Google 已经公开了这份报告。 报告的标题相当明确:“窥视水族馆”,而俄罗斯军事情报机构 GRU 的总部俗称就是“水族馆”。 2014 年 10 月 FireEye 曾发布了一份报告,将一些东欧国家的网络攻击与俄罗斯网络间谍联系在一起,并命名该组织为 ATP28 。该组织着重于收集对俄罗斯政府有用的情报,目标为美国国防承包商、欧洲安全组织和东欧政府机构。在 FireEye 发布报告之前,也有其他安全公司在调查该组织。显然,Google 也在其中并先于 FireEye 整理出报告,只是出于某种原因一直没有对外发布。此后 APT 28 也被称为 Pawn Storm、Sednit、Sofacy、Fancy Bear 、Tsar Team 。 Google 安全团队的这份 42 页关于 APT 28 活动的报告,可以说是相当的“罕见”:一方面虽然它很早的被整理好,但此前从未发表过,公众没想到谷歌竟然早已做出了有深度的威胁情报分析。另一方面谷歌很少出这种类型的分析报告,这种报告常见于威胁情报公司。 报告的数据来源于病毒分析数据共享平台 VirusTotal ,其中明确提到了恶意软件 Sofacy 和 X-Agent 被俄罗斯支持的黑客所使用,并针对前苏联国家,北约成员国和其他西欧国家。这意味着 Google 早在多年前就意识到该威胁,并在 FireEye、ESET 安全公司之前就将黑客组织与俄罗斯政府联系起来。 根据报告显示,恶意软件 X-Agent 多针对格鲁吉亚,罗马尼亚,俄罗斯和丹麦。碰巧前不久有报道称恶意软件 Xagent 已经有了新变种,除了攻击 Windows、iOS、Android 和 Linux 设备,现在还可以攻击 Mac 用户。 谷歌在报告中表示, 复杂的恶意软件 X-Agent 只被 APT 28 使用针对高优先级目标。常规情况下, APT 28 一般使用恶意软件 Sofacy 进行间谍活动。据 VirusTotal 显示,恶意软件 Sofacy 的数量是 X-Agent 的三倍且有超过 600 个不同的样本。 该报告中还包括有关 APT 28 使用的相关技术细节。总的来说,这份报告最让人印象深刻的一点就是:Google 的安全团队能够在其他威胁情报公司之前就早早识别出威胁源,并加以合理分析推测。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

欧安组织被黑,外媒暗指俄罗斯 APT28 为幕后主导

据台湾中时电子报消息,总部位于奥地利维也纳的欧安组织(OSCE)近日证实遭遇网络攻击,内部电脑系统被黑客入侵。官方并未透露机密资料是否泄露。另有外媒指出,入侵事件背后主导者或为俄罗斯 APT28 黑客组织。 欧洲安全与合作组织简称“欧安组织”,主要使命是为成员国就欧洲事务、特别是安全事务进行磋商提供平台,其决定对成员国只具有政治效力而没有法律效力。(自百度百科) 欧安组织表示,事件发生于今年 11 月初,组织内部在发现入侵事件后立即展开调查,尽管存在内部资料被窃的风险,但欧安组织仍能顺利运作下去。 对于外媒“俄罗斯 APT28 黑客组织是幕后主导者”的传言,欧安组织并未给予回应,仅表示已经确认入侵通道以及部分外部联系网络。揭露欧安组织被黑的法国世界报(Le Monde)报导,APT28 与俄罗斯安全机构关系密切。 媒体表示,黑客此举目的在于损害欧安组织形象、破坏声誉。欧安组织日前才刚提出警告,指称乌克兰暴力升级、反叛武装势力扩大暴力行动。欧安组织是目前全球唯一对乌克兰内部动乱进行调查的国际组织。 稿源:据 台湾中时电子报 整理,封面:百度搜索